Платформа информационных гарантий ENISA

Сведения о платформе информационных гарантий ENISA

Европейское агентство по сетевой и информационной безопасности (ENISA) — это центр сетевой и информационной экспертизы. Оно тесно сотрудничает с государствами-участниками ЕС и коммерческими организациями для предоставления советов и рекомендаций по кибербезопасности. ENISA также поддерживает разработку и внедрение политики и закона ЕС, связанного с национальной информационной безопасностью.

Платформа информационных гарантий (IAF) — это набор гарантий, которые организации могут проверять с поставщиками облачных служб, чтобы обеспечить надлежащую защиту данных клиентов. IAF предназначена для помощи организациям в оценке риска внедрения облачных служб, более тщательного сравнения предложений от разных облачных служб и снижения гарантийной нагрузки на поставщиков облачных служб.

Майкрософт и ENISA IAF

Платформа информационных гарантий ENISA основана на различных классах элементов управления из международного стандарта управления информационной безопасностью ISO/IEC 27001 и облачной матрице управления (CCM) Cloud Security Alliance (CSA) версии 3.0.1. CCM —
это платформа элементов управления, включающая фундаментальные принципы защиты в 16 областях для помощи облачным клиентам в оценке общей угрозы безопасности поставщика облачных служб (CSP).

Для самостоятельной оценки CSA STAR корпорация Майкрософт представила отчет, подтверждающий соответствие Microsoft Azure требованиям CCM CSA. (Корпорация Майкрософт также публикует заполненный вопросник по инициативе по оценке консенсуса (CAIQ) для Azure.) Эта самооценка
соответствия демонстрирует соответствие требованиям ENISA IAF.

Соответствие Azure требованиям указано в реестре CSA STAR — бесплатном общедоступном реестре, в котором поставщики облачных служб публикуют свои оценки, связанные с CSA. В нем для Azure также указываются сведения о формальной сертификации CSA STAR и аттестации CSA STAR.

Так как эти отчеты самостоятельной оценки являются общедоступными, клиенты Azure получают представление о методах обеспечения безопасности Майкрософт и могут сравнить разных поставщиков облачных служб (CSP), используя одинаковую основу.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Office 365

Azure, Dynamics 365 и ENISA IAF

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение ENISA IAF Azure.

Office 365 и ENISA IAF

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Microsoft Entra ID, Azure Information Protection, Bookings, Диспетчер соответствия требованиям, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender для Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Cloud App Security, группы Office 365, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage

Ресурсы